【发布时间】:2017-06-11 10:20:59
【问题描述】:
由于不应共享敏感信息,JWT 有什么需求?
我可以创建一个令牌列,将其存储在数据库中并调用它,以交叉验证令牌并获取用户详细信息。
自定义生成的令牌可以使用密钥进行哈希处理,因此不会被解码。既然这么简单,为什么要使用复杂的 JWT 类型,它有信息。
【问题讨论】:
【发布时间】:2017-06-11 10:20:59
【问题描述】:
由于不应共享敏感信息,JWT 有什么需求?
在大多数情况下,不能将具有私有 ID、到期日期或颁发者的主题视为敏感主题。并且令牌必须在双方之间保密,因为拥有是身份验证的证明。
无论如何,JWT 内容都可以使用 JWE 进行加密。
自定义生成的令牌可以使用密钥进行哈希处理,因此不会被解码。既然这么简单,为什么要使用复杂的 JWT 类型,它有信息。
与不透明的令牌系统相比,JWT 有一些优势:
- 令牌不需要服务器存储
- 令牌有过期日期
- 在各方之间安全地共享信息。
还有缺点……
- 没有撤销机制。不建议设置黑名单,因为它破坏了 JWT 无状态
- 增加令牌大小
【讨论】: